![Centos가 해킹당했습니다. 백도어를 찾는 방법은 무엇입니까? [폐쇄]](https://linux55.com/image/93045/Centos%EA%B0%80%20%ED%95%B4%ED%82%B9%EB%8B%B9%ED%96%88%EC%8A%B5%EB%8B%88%EB%8B%A4.%20%EB%B0%B1%EB%8F%84%EC%96%B4%EB%A5%BC%20%EC%B0%BE%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
와주셔서 감사합니다. 우선 제 영어를 용서해주시길 바랍니다!
VPS를 빌려서 pptpd 서버만 사용했습니다. 며칠 전에 SSH를 통해 전송했는데 뭔가 잘못되었다는 느낌이 들었습니다. 마지막 명령을 입력했는데 방향이나 파일이 이동되었다는 오류가 발생했습니다.
cat /var/log/secure그리고 실패한 SSH 마사지를 많이 받았지만 두세 개는 내가 아니라고 확신하는 "수락"을 받았습니다. 그래서 비밀번호를 변경하고 확인해 보니 /etc/passwdsshd 포트가 1973으로 변경되었습니다. 모든 것이 정상적으로 보입니다.
rc.d/statd와 같은 진행 이름을 입력하면 netstat -anpt포트에서 수신 대기하는 경우 이것이 유출인가요, 아니면 해킹당한 것인가요?
그런 다음 ssh=1973 및 pptp=1723을 제외한 모든 입력 포트를 차단했지만 작동하지 않는 것 같습니다.
사용자 없이도 연결하고 명령을 실행할 수 있습니다.
어떻게 해야 합니까?
제가 얻은 정보입니다. 도움이 되셨으면 좋겠습니다
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 0 VPS IP:56585 149.202.219.49:1520 TIME_WAIT -
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 1 VPS IP:57480 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 ESTABLISHED 27236/ls -la
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 1 127.0.1.1:43002 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:46561 158.69.219.235:80 TIME_WAIT -
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 1 VPS IP:57517 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 96 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 ESTABLISHED 27236/ls -la
tcp 0 1 127.0.1.1:43036 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# skill -9 27236
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 1 127.0.1.1:43051 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 272 VPS IP:34746 164.132.170.78:1520 ESTABLISHED 27888/pwd
tcp 0 0 VPS IP:46611 158.69.219.235:80 ESTABLISHED 27888/pwd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:34740 164.132.170.78:1520 ESTABLISHED 27886/sh
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 1 VPS IP:57533 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# skill -9 27886
[root@US-seven ~]# skill -9 27888
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 0 VPS IP:55129 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:46611 158.69.219.235:80 TIME_WAIT -
tcp 0 1 VPS IP:57551 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 1 127.0.1.1:43074 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:55069 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:34740 164.132.170.78:1520 TIME_WAIT -
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 VPS IP:34764 164.132.170.78:1520 ESTABLISHED 28211/id
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 48 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 0 VPS IP:55129 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:46611 158.69.219.235:80 TIME_WAIT -
tcp 0 0 VPS IP:55069 149.202.219.49:1520 TIME_WAIT -
tcp 0 0 VPS IP:34740 164.132.170.78:1520 TIME_WAIT -
tcp 0 1 VPS IP:57562 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 1 127.0.1.1:43083 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 VPS IP:34764 164.132.170.78:1520 ESTABLISHED 28211/id
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
[root@US-seven ~]# netstat -anpt
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1973 0.0.0.0:* LISTEN 1578/sshd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 6662/pptpd
tcp 0 240 VPS IP:1973 my ip:47087 ESTABLISHED 24672/sshd
tcp 0 1 127.0.1.1:44133 127.0.1.1:3306 SYN_SENT 16610/sdpd
tcp 0 1 VPS IP:58614 69.30.224.86:80 SYN_SENT 16610/sdpd
tcp 0 0 VPS IP:1723 my ip:47689 ESTABLISHED 26120/pptpd [59.53.
tcp 0 0 VPS IP:34764 164.132.170.78:1520 ESTABLISHED 28211/id
tcp 0 0 :::1973 :::* LISTEN 1578/sshd
그리고 내가 실행하지 않는 몇 가지 명령이 있습니다.
root 2079 1 0 Aug23 ? 00:00:01 auditd
root 6662 1 0 Aug23 ? 00:00:00 /usr/sbin/pptpd
root 6728 467 0 Aug23 ? 00:00:00 /sbin/udevd -d
root 16610 1 0 Aug23 ? 00:04:57 /usr/sbin/sdpd
root 24672 1578 0 13:21 ? 00:00:00 sshd: root@pts/0
root 24734 24672 0 13:21 pts/0 00:00:00 -bash
root 26120 6662 0 13:25 ? 00:00:02 pptpd [my ip:CD78 - 0380]
root 26121 26120 0 13:25 ? 00:00:00 /usr/sbin/pppd local file /etc/ppp/options.pptpd 115200 192.168.0.1:172.24.24.100 ipparam my ip plugin
root 28211 1 0 13:30 ? 00:00:01 id
root 40702 1 0 14:02 ? 00:00:00 /usr/sbin/acpid
root 40705 1 0 14:02 ? 00:00:00 /usr/libexec/gnome-vfs-daemon
root 40709 1 0 14:02 ? 00:00:00 /lib/systemd/systemd --user
root 40713 1 0 14:02 ? 00:00:00 klogd -x
root 40714 1 0 14:02 ? 00:00:00 /lib/systemd/systemd --user
root 40722 1 0 14:02 ? 00:00:00 grep "A"
root 40724 1 0 14:02 ? 00:00:00 ifconfig
root 40727 1 0 14:02 ? 00:00:00 sh
root 40728 1 0 14:02 ? 00:00:00 cat resolv.conf
root 40729 1 0 14:02 ? 00:00:00 whoami
root 40730 24734 3 14:02 pts/0 00:00:00 ps -ef
답변1
백도어가 어디에 있는지 쉽게 답할 수는 없지만 더 자세히 식별할 수 있는 정보를 찾을 수 있습니다.
주먹:
가장 좋은 아이디어는vps를 삭제하고 새 vps를 배포하십시오..
프로세스는 루트에서 실행되며 누군가 루트로 액세스했습니다(아마도 비밀번호를 추측했을 것입니다).
- 루트 비밀번호 변경(그리고 강력한 비밀번호 사용)
- SSH 키 변경(이전/알 수 없는 키를 모두 제거
/root/.ssh/authorized_keys) - 귀하의 IP에서만 SSH 액세스를 허용하십시오
- 마지막으로 커널을 업데이트하세요(보안 문제가 있을 수 있음).
또한 서버의 모든 사용자를 확인하고 동일한 작업을 수행합니다.
rpm 패키지에 변경 사항이 나타나는지 확인하십시오. - ( 바이너리의 md5sum, 권한 등이 다른 경우 이는 큰 문제입니다 rpm -aV. 자세한 내용은 sshd확인 옵션 섹션을 참조하십시오 ).man rpm
다음을 식별하는 데 사용됩니다.
실행 중인 프로세스를 종료하는 대신 프로세스가 어디서 왔는지 조사해 보세요. 시작하면 pstree상위 프로세스가 표시됩니다. 예를 들어. 그리고 pstree -s -p <pid>.
에서 일부 정보를 찾을 수 있습니다 /proc/. 고양이는 /proc/<pid>/status당신에게 자세한 정보를 제공합니다. 프로세스에서 사용하는 파일을 검사하여 현재 작업 디렉터리에 대한 링크를 표시할 수 ls -l /proc/<pid>/fd있습니다 . ls -l /proc/<pid>cwd프로세스에서 확인한 실행 파일 ls -l /proc/<pid>/exe및 매개변수 에 대한 링크입니다 cat /proc/<pid>/command. /proc/확인 하시면 더 많은 정보를 확인하실 수 있습니다문서더 알아보기.
행운을 빕니다 :)
미래를 위해:
SSH에서 루트를 비활성화하고 사용자로 액세스한 후 sudo루트로 전환하는 데 사용합니다. 자신의 IP가 아닌 모든 IP에서 SSH를 차단하고 fail2banSSH를 설치 및 구성하여 비밀번호를 추측하는 들어오는 봇을 차단하세요.